Asegúr@IT III - Ataques SQL Injection masivos

Ataques Masivos con Inyección SQL o... El pequeño “Bobby Tablas” ya está aquí David Carmona Microsoft Ibérica blogs.msdn.com/tropezones

Inyección SQL 101 string sqlString="SELECT * FROM Orders WHERE “ + “CustomerID='" + idCliente + "'"; SELECT * FROM Orders WHERE CustomerID= ‘Miguel' Buena persona SELECT * FROM Orders WHERE CustomerID= ‘Miguel‘OR 1=1 --’ Mirón SELECT * FROM Orders WHERE CustomerID= ‘Miguel‘; DROP TABLE ORDERS --’ Graciosillo SELECT * FROM Orders WHERE CustomerID= ‘ Miguel‘;exec xp_cmdshell ‘format C:’ Eso que piensas

Contramedidas
Validar entradas en servidor
Comprobación de tipos
Caracteres especiales
Usar cuentas SQL restringidas
No volcar mensajes de error
La mejor: Usar parámetros
string sqlString="SELECT * FROM Orders WHERE CustomerID=@custID"; SqlCommand cmd = new SqlCommand(sqlString, conn); cmd.Parameters.Add("@custID", idCliente);

Contramedidas (II)
O como siempre…
Esto nunca me va a pasar a mí
Si lo atacan será porque algo malo han hecho
No soy interesante
%Tu propia excusa aquí%
El cuento ha cambiado
Ataques inyección SQL masivos: “Bobby Tablas”
Dos conceptos
Identificación automática de URLs potenciales
Ataque independiente de datos y tablas

Identificación de URLs
¿Qué buscamos?
Entrada de datos en páginas web
¿Cómo encontrarlo de forma programática?

Identificación de URLs

Ataque independiente
¿Qué buscamos?
Cross site scripting para incrustar código js
Asunciones
Tenemos un punto de entrada vulnerable
Mostramos algún dato crudo de la BD
Usamos un usuario con permisos de metadata

Ataque independiente

¿Esto puede ocurrir?
Esto HA ocurrido

Ataque masivo

Recursos
Cómo: Proteger ASP.NET de inyecciones SQL
http://msdn.microsoft.com/es-es/library/ms998271.aspx
Proteger el acceso a datos
http://msdn.microsoft.com/es-es/library/ms178375(VS.80).aspx
Referencia de SQL Server 2005
http://msdn.microsoft.com/es-es/library/ms161953.aspx
Cómo aprovechar las ventajas de las características integradas de ASP.NET para rechazar los ataques a través de Internet
http://www.microsoft.com/spanish/msdn/articulos/archivo/040405/voices/securitybarriers.mspx
Escribir SQL dinámico seguro en SQL Server (ADO.NET)
http://msdn.microsoft.com/es-es/library/bb669091.aspx
Guía completa para desarrollo de aplicaciones web seguras (incluye inyección SQL)
http://msdn.microsoft.com/es-es/library/aa302415.aspx

http://amperis.blogspot.com	843
http://www.elladodelmal.com	631
http://elladodelmal.blogspot.com	178
http://futurotecnicoinformatico.blogspot.com	92
http://www.dragonjar.org	58
http://amperis.blogspot.com.es	53
http://amperis.blogspot.mx	43
http://futurotecnicoinformatico.blogspot.com.es	22
http://www.slideshare.net	9
http://futurotecnicoinformatico.blogspot.mx	7
http://amperis.blogspot.com.ar	6
http://futurotecnicoinformatico.blogspot.com.ar	2
http://translate.googleusercontent.com	1
http://www.elladodelmal.blogspot.com	1
http://static.slideshare.net	1
http://www.soitu.es	1

Asegúr@IT III - Ataques SQL Injection masivos

by Chema Alonso on Dec 25, 2008

Accessibility

Categories

Upload Details

Usage Rights

16 Embeds 1,948

Statistics

Asegúr@IT III - Ataques SQL Injection masivos Presentation Transcript